Chiffrement au repos dans ElastiCache for Redis - Amazon ElastiCache for Redis

Chiffrement au repos dans ElastiCache for Redis

Afin de vous aider à préserver la sécurité de vos données, Amazon ElastiCache et Amazon S3 fournissent différentes façons de restreindre l'accès à vos données lorsqu'elles se trouvent dans votre cache. Pour de plus amples informations, veuillez consulter Sécurité des VPC Amazon et ElastiCache et Gestion des identités et des accès dans Amazon ElastiCache.

Le chiffrement au repos pour ElastiCache for Redis est une fonction facultative permettant d'augmenter la sécurité des données en chiffrant des données sur le disque. Une fois activé sur un groupe de réplication, il chiffre les aspects suivants :

Les données stockées sur des SSD (disques SSD) dans des clusters compatibles avec hiérarchisation des données sont toujours chiffrées par défaut. Cependant, lorsque le cluster est sauvegardé, les données de l’instantané ne sont pas automatiquement chiffrées. Le chiffrement doit être activé sur l’instantané. Pour plus d’informations, consultez la rubrique Activation du chiffrement au repos.

  • Le disque lors des opérations de synchronisation, de sauvegarde et d'échange

  • Sauvegardes stockées dans Amazon S3

ElastiCache for Redis propose un chiffrement au repos par défaut (géré par le service), ainsi que la possibilité d'utiliser vos propres clés KMS AWS symétriques gérées par le client dans AWS Key Management Service (KMS).

Note

Le chiffrement par défaut (géré par le service) est la seule option disponible dans les régions GovCloud (US).

Le chiffrement au repos ne peut être activé sur un groupe de réplication que lorsqu'il est créé. Puisque du traitement est nécessaire pour chiffrer et déchiffrer les données, activer le chiffrement au repos peut avoir un certain impact sur les performances durant ces opérations. Vous devez référencer vos données avec et sans le chiffrement au repos pour déterminer l'impact sur la performance pour vos cas d'utilisation.

Pour plus d'informations sur le chiffrement en transit, veuillez consulter . Chiffrement en transit (TLS) ElastiCache for Redis

Conditions du chiffrement au repos

Il convient de garder à l'esprit les contraintes suivantes concernant le chiffrement au repos ElastiCache lorsque vous planifiez votre implémentation du chiffrement au repos ElastiCache :

  • Le chiffrement au repos est pris en charge pour les groupes de réplication s'exécutant sous les versions 3.2.6, 4.0.10 ou ultérieure de Redis.

  • Le chiffrement au repos est pris en charge uniquement pour les groupes de réplication s'exécutant dans un Amazon VPC.

  • Le chiffrement au repos est pris en charge uniquement pour les groupes de réplication exécutant les types de nœud suivants.

    • R6gd, R6g, R5, R4, R3

    • M6g, M5, M4, M3

    • T4g,T3, T2

    Pour plus d’informations, consultez Types de nœuds pris en charge

  • Le chiffrement au repos est activé par la définition explicite du paramètre AtRestEncryptionEnabled sur true.

  • Le chiffrement au repos peut être activé sur un groupe de réplication uniquement lorsque vous créez le groupe de réplication. Vous ne pouvez pas activer et désactiver le chiffrement au repos en modifiant un groupe de réplication. Pour plus d'informations sur l'implémentation du chiffrement au repos sur un groupe de réplication existant, consultez Activation du chiffrement au repos.

  • Si un cluster utilise un type de nœud de la famille r6gd, les données stockées sur SSD sont chiffrées, que le chiffrement au repos soit activé ou non.

  • L'option d'utiliser la clé gérée par le client pour le chiffrement au repos n'est pas disponible dans les régions AWS GovCloud (us-gov-east-1 et us-gov-west-1).

  • Si un cluster utilise un type de nœud de la famille r6gd, les données stockées sur SSD sont chiffrées avec la clé KMS AWS gérée par le client choisie (ou le chiffrement géré par le service dans les régions GovCloud AWS).

L'implémentation du chiffrement au repos peut réduire la performance lors des opérations de sauvegarde et de synchronisation de nœud. Référencez le chiffrement au repos en comparaison avec l'absence de chiffrement sur vos propres données pour déterminer l'impact sur la performance pour votre cas d'utilisation.

Utilisation des clés gérées par le client depuis AWS KMS

ElastiCache for Redis prend en charge les clés AWS KMS symétriques gérées par le client (clé KMS) pour le chiffrement au repos. Les clés KMS gérées par le client sont des clés de chiffrement que vous créez, possédez et gérez dans votre compte AWS. Pour de plus amples informations, veuillez consulter Clés AWS KMS dans le Guide du développeur AWS Key Management Service. Les clés doivent être créées dans AWS KMS avant de pouvoir être utilisées avec Elasticache.

Pour plus d'informations sur la façon de créer des clés racines AWS KMS, veuillez consulter Création de clés dans le Guide du développeur AWS Key Management Service.

ElastiCache for Redis permet l'intégration avec AWS KMS. Pour plus d'informations, veuillez consulter Utilisation d'octrois dans le Guide du développeur AWS Key Management Service. Aucune action n'est nécessaire de la part du client pour permettre l'intégration d'Amazon ElastiCache avec AWS KMS.

La clé de condition kms:ViaService limite l'utilisation d'une clé AWS KMS (clé KMS) aux demandes provenant de services AWS spécifiés. Pour utiliser kms:ViaService avec ElastiCache, incluez les deux noms ViaService dans la valeur de clé de condition : elasticache.AWS_region.amazonaws.com et dax.AWS_region.amazonaws.com. Pour de plus amples informations, veuillez consulter kms:ViaService.

Vous pouvez utiliser AWS CloudTrail pour suivre les demandes qu'Amazon ElastiCache envoie à AWS Key Management Service en votre nom. Tous les appels d'API vers AWS Key Management Service liés aux clés gérées par le client ont des journaux CloudTrail correspondants. Vous pouvez également voir les accords qu'ElastiCache crée en appelant l'API KMS ListGrants.

Une fois un groupe de réplication chiffré à l'aide d'une clé gérée par le client, toutes les sauvegardes pour le groupe de réplication sont chiffrées comme suit :

  • Les sauvegardes quotidiennes automatiques sont chiffrées à l'aide de la clé gérée par le client associée au cluster.

  • La sauvegarde finale créée quand le groupe de réplication est supprimé est également chiffrée à l'aide de la clé gérée par le client associée au groupe de réplication.

  • Les sauvegardes manuellement créées sont chiffrées par défaut pour utiliser la clé KMS associée au groupe de réplication. Vous pouvez la remplacer en choisissant une autre clé gérée par le client.

  • Copier une sauvegarde revient à utiliser une clé gérée par le client associée à la sauvegarde de la source. Vous pouvez la remplacer en choisissant une autre clé gérée par le client.

Note
  • Les clés gérées par le client ne peuvent pas être utilisées lorsque vous exportez des sauvegardes vers le compartiment Amazon S3 sélectionné. Cependant, toutes les sauvegardes exportées vers Amazon S3 sont chiffrées à l'aide du Chiffrement côté client. Vous pouvez choisir de copier le fichier de sauvegarde vers un nouvel objet S3 et le chiffrer à l'aide d'une clé KMS gérée par le client, copier le fichier vers un autre compartiment S3 configuré avec le chiffrement par défaut à l'aide d'une clé KMS ou changer une option de chiffrement dans le fichier lui-même.

  • Vous pouvez toujours utiliser des clés gérées par le client pour chiffrer des sauvegardes manuellement créées pour les groupes de réplication qui n'utilisent pas de clés gérées par le client pour le chiffrement. Avec cette option, le fichier de sauvegarde stocké dans Amazon S3 est chiffré à l'aide d'une clé KMS, même quand les données ne sont pas chiffrées sur le groupe de réplication original.

La restauration à partir d'une sauvegarde vous permet de choisir parmi les options de chiffrement disponibles, comme pour les choix de chiffrement disponibles lors de la création d'un nouveau groupe de réplication.

  • Si vous supprimez la clé ou désactivez la clé et révoquez les autorisations pour la clé que vous utilisez pour chiffrer un groupe de réplication, ce dernier devient irrécupérable. En d'autres termes, il ne peut pas être modifié ou récupéré après un échec du matériel. AWS KMS supprime les clés racines uniquement après une période d'attente d'au moins sept jours. Une fois la clé supprimée, vous pouvez utiliser une autre clé gérée par le client afin de créer une sauvegarde à des fins d'archive.

  • La rotation automatique des clés préserve les propriétés de vos clés racines AWS KMS et n'a donc aucun impact sur votre capacité à accéder à vos données ElastiCache. Les groupes de réplication Amazon ElastiCache chiffrés ne prennent pas en charge la rotation manuelle des clés, laquelle implique de créer une nouvelle clé racine et de mettre à jour toute référence à l'ancienne clé. Pour en savoir plus, veuillez consulter Rotation des clés AWS KMS dans le Guide du développeur AWS Key Management Service.

  • Chiffrer un groupe de réplication ElastiCache à l'aide d'une clé KMS nécessite un octroi par groupe de réplication. Cette autorisation est utilisée pendant toute la durée de vie du groupe de réplication. De plus, une autorisation par sauvegarde est utilisée pendant la création de la sauvegarde. Cette autorisation est hors service une fois la sauvegarde créée.

  • Pour en savoir plus sur les octrois et les limites d'AWS KMS, veuillez consulter Limites dans le Guide du développeur AWS Key Management Service.

Activation du chiffrement au repos

Vous pouvez activer le chiffrement au repos ElastiCache lors de la création d'un groupe de réplication Redis en définissant le paramètre AtRestEncryptionEnabled sur true. Vous ne pouvez pas activer le chiffrement au repos sur les groupes de réplication existants.

Le chiffrement au repos peut uniquement être activé lorsque vous créez un groupe de réplication ElastiCache for Redis. Vous pouvez effectuer cette opération à l'aide de l'AWS Management Console, de l'AWS CLI, ou de l'API ElastiCache.

Lorsque vous créez un groupe de réplication, vous pouvez sélectionner l'une des options suivantes :

  • Par défaut : cette option utilise le chiffrement au repos géré par service.

  • Clé gérée par le client : cette option vous permet de fournir l'ID/ARN de clé d'AWS KMS pour le chiffrement au repos.

Pour plus d'informations sur la façon de créer des clés racines AWS KMS, veuillez consulter Création de clés dans le Guide du développeur AWS Key Management Service

Activation du chiffrement au repos sur un cluster Redis existant

Le chiffrement au repos peut uniquement être activé lorsque vous créez un groupe de réplication Redis. Si vous disposez déjà d'un groupe de réplication sur lequel vous souhaitez activer le chiffrement au repos, procédez comme suit.

Pour activer le chiffrement au repos sur un groupe de réplication existant

  1. Créez une sauvegarde manuelle de votre groupe de réplication existant. Pour plus d’informations, consultez Réalisation de sauvegardes manuelles.

  2. Créez un groupe de réplication en restaurant la sauvegarde. Sur le nouveau groupe de réplication, activez le chiffrement au repos. Pour plus d’informations, consultez Restauration à partir d'une sauvegarde avec redimensionnement facultatif du cluster.

  3. Dans votre application, mettez à jour les points de terminaison pour pointer vers le nouveau groupe de réplication.

  4. Supprimez l'ancien groupe de réplication. Pour plus d'informations, consultez Suppression d'un cluster ou Suppression d'un groupe de réplication.

Activation du chiffrement au repos à l'aide de l' AWS Management Console

Pour activer le chiffrement au repos lors de la création d'un groupe de réplication à l'aide d'AWS Management Console, procédez aux sélections suivantes :

  • Choisissez redis comme moteur.

  • Choisissez la version 3.2.6, 4.0.10 ou ultérieure en tant que version de moteur.

  • Choisissez Oui depuis la liste Chiffrement au repos.

Pour vous familiariser avec la procédure étape par étape, consultez les éléments suivants :

Activation du chiffrement au repos à l'aide de l' AWS CLI

Pour activer le chiffrement au repos lors de la création d'un cluster Redis à l'aide de l'AWS CLI, utilisez le paramètre --at-rest-encryption-enabled lors de la création d'un groupe de réplication.

Activation du chiffrement au repos sur un cluster Redis (cluster en mode désactivé) (CLI)

L'opération suivante crée le groupe de réplication Redis (cluster en mode désactivé) my-classic-rg avec trois nœuds (--num-cache-clusters), un nœud principal et deux réplicas en lecture. Le chiffrement au repos est activé pour ce groupe de réplication (--at-rest-encryption-enabled).

Les paramètres suivants, ainsi que leurs valeurs, sont nécessaires à l'activation du chiffrement sur ce groupe de réplication :

Paramètres clés

  • --engine—Doit indiquer redis.

  • --engine-version : doit être 3.2.6, 4.0.10 ou supérieure.

  • --at-rest-encryption-enabled : requis pour activer le chiffrement au repos.

Exemple 1 : cluster Redis (cluster en mode désactivé) avec des réplicas

Pour Linux, macOS ou Unix :

aws elasticache create-replication-group \ --replication-group-id my-classic-rg \ --replication-group-description "3 node replication group" \ --cache-node-type cache.m4.large \ --engine redis \ --engine-version 4.0.10 \ --at-rest-encryption-enabled \ --num-cache-clusters 3 \ --cache-parameter-group default.redis4.0

Pour Windows :

aws elasticache create-replication-group ^ --replication-group-id my-classic-rg ^ --replication-group-description "3 node replication group" ^ --cache-node-type cache.m4.large ^ --engine redis ^ --engine-version 4.0.10 ^ --at-rest-encryption-enabled ^ --num-cache-clusters 3 ^ --cache-parameter-group default.redis4.0

Pour plus d'informations, consultez les éléments suivants :

 

Activation du chiffrement au repos sur un cluster pour Redis (cluster en mode activé) (CLI)

L'opération suivante crée le groupe de réplication Redis (cluster en mode activé) my-clustered-rg avec trois groupes de nœuds ou partitions (--num-node-groups). Chacun contient trois nœuds : un nœud principal et deux réplicas en lecture (--replicas-per-node-group). Le chiffrement au repos est activé pour ce groupe de réplication (--at-rest-encryption-enabled).

Les paramètres suivants, ainsi que leurs valeurs, sont nécessaires à l'activation du chiffrement sur ce groupe de réplication :

Paramètres clés

  • --engine—Doit indiquer redis.

  • --engine-version : version 4.0.10 ou supérieure obligatoire.

  • --at-rest-encryption-enabled : requis pour activer le chiffrement au repos.

  • --cache-parameter-group : doit indiquer default-redis4.0.cluster.on ou l'un de ses dérivés afin de faire de ce cluster un groupe de réplication activé sur le mode.

Exemple 2 : un cluster Redis (cluster en mode activé)

Pour Linux, macOS ou Unix :

aws elasticache create-replication-group \ --replication-group-id my-clustered-rg \ --replication-group-description "redis clustered cluster" \ --cache-node-type cache.m3.large \ --num-node-groups 3 \ --replicas-per-node-group 2 \ --engine redis \ --engine-version 4.0.10 \ --at-rest-encryption-enabled \ --cache-parameter-group default.redis4.0.cluster.on

Pour Windows :

aws elasticache create-replication-group ^ --replication-group-id my-clustered-rg ^ --replication-group-description "redis clustered cluster" ^ --cache-node-type cache.m3.large ^ --num-node-groups 3 ^ --replicas-per-node-group 2 ^ --engine redis ^ --engine-version 4.0.10 ^ --at-rest-encryption-enabled ^ --cache-parameter-group default.redis4.0.cluster.on

Pour plus d'informations, consultez les éléments suivants :

Activation du chiffrement au repos à l'aide de l'API ElastiCache

Pour activer le chiffrement au repos lors de la création d'un groupe de réplication Redis à l'aide de l'API ElastiCache, définissez le paramètre AtRestEncryptionEnabled sur true avec CreateReplicationGroup.

Activation du chiffrement au repos sur un cluster Redis (cluster en mode désactivé) (API)

L'opération suivante crée le groupe de réplication Redis (cluster en mode désactivé) my-classic-rg avec trois nœuds (NumCacheClusters), un nœud principal et deux réplicas en lecture. Le chiffrement au repos est activé pour ce groupe de réplication (AtRestEncryptionEnabled=true).

Les paramètres suivants, ainsi que leurs valeurs, sont nécessaires à l'activation du chiffrement sur ce groupe de réplication :

  • Engine—Doit indiquer redis.

  • EngineVersion : doit être 3.2.6, 4.0.10 ou supérieure.

  • AtRestEncryptionEnabled : doit avoir la valeur true pour activer le chiffrement au repos.

Exemple 3 : cluster Redis (cluster en mode désactivé) avec des réplicas

Des sauts de ligne sont ajoutés pour faciliter la lecture.

https://elasticache.us-west-2.amazonaws.com/ ?Action=CreateReplicationGroup &AtRestEncryptionEnabled=true &CacheNodeType=cache.m3.large &CacheParameterGroup=default.redis4.0 &Engine=redis &EngineVersion=4.0.10 &NumCacheClusters=3 &ReplicationGroupDescription=test%20group &ReplicationGroupId=my-classic-rg &Version=2015-02-02 &SignatureVersion=4 &SignatureMethod=HmacSHA256 &Timestamp=20150202T192317Z &X-Amz-Credential=<credential>

Pour plus d'informations, consultez les éléments suivants :

 

Activation du chiffrement au repos sur un cluster pour Redis (cluster en mode activé) (API)

L'opération suivante crée le groupe de réplication Redis (mode cluster activé) my-clustered-rg avec trois groupes de nœuds/partitions (NumNodeGroups), chacun avec trois nœuds, un nœud primaire et deux réplicas en lecture (ReplicasPerNodeGroup). Le chiffrement au repos est activé pour ce groupe de réplication (AtRestEncryptionEnabled=true).

Les paramètres suivants, ainsi que leurs valeurs, sont nécessaires à l'activation du chiffrement sur ce groupe de réplication :

  • Engine—Doit indiquer redis.

  • AtRestEncryptionEnabled : doit avoir la valeur true pour activer le chiffrement au repos.

  • EngineVersion : doit être 3.2.6, 4.0.10 ou supérieure.

  • CacheParameterGroup : doit indiquer default-redis4.0.cluster.on ou l'un de ses dérivés afin d'en faire un cluster Redis (cluster en mode activé).

Exemple 4 : un cluster Redis (cluster en mode activé)

Des sauts de ligne sont ajoutés pour faciliter la lecture.

https://elasticache.us-west-2.amazonaws.com/ ?Action=CreateReplicationGroup &AtRestEncryptionEnabled=true &CacheNodeType=cache.m3.large &CacheParemeterGroup=default.redis4.0.cluster.on &Engine=redis &EngineVersion=4.0.10 &NumNodeGroups=3 &ReplicasPerNodeGroup=2 &ReplicationGroupDescription=test%20group &ReplicationGroupId=my-clustered-rg &Version=2015-02-02 &SignatureVersion=4 &SignatureMethod=HmacSHA256 &Timestamp=20150202T192317Z &X-Amz-Credential=<credential>

Pour plus d'informations, consultez les éléments suivants :

 

Voir aussi